08. studeni 2019.

GDPR i videonadzor: Istine i zablude o vašim pravima - 3. dio

GDPR i videonadzor   

Piše: Natalija Parlov Una

U samom početku trilogije 'GDPR i videonadzor' spomenuta je neophodna stavka koju prije bilo kakvog daljnjeg promišljanja o nužnosti osiguravanja prava ispitanicima ili pak ostvarivanju tih prava od strane samih pojedinaca treba imati na umu: GDPR se ne odnosi na obradu osobnih podataka koju provode fizičke osobe tijekom isključivo osobnih ili kućnih aktivnosti.

Ukoliko se ne radi o osobnim ili kućnim aktivnostima fizičke osobe, svaki voditelj obrade koji provodi obradu podataka putem videonadzora dužan je držati se svih zahtjeva propisanih GDPR-om te osigurati sva prava pojedincu čije podatke obrađuje, a koja mu po toj osnovi pripadaju.

Također treba ponovno spomenuti dio iz Smjernica o obradi osobnih podataka putem videouređaja, izdanim od Europskog odbora za zaštitu podataka (European Data Protection Board – EDPB) u kojima je jasno istaknuto da videonadzor nije nužno neophodan ukoliko se zaštita ljudi i imovine može osigurati na neki drugi način.

Što jest, a što nije 'osobna ili kućna aktivnost'

Prema smjernicama EDPB ovo izuzeće mora se tumačiti vrlo ograničeno odnosno obrada mora biti povezana samo s aktivnostima koje se provode u privatnom ili obiteljskom životu pojedinca što nije slučaj kod obrada osobnih podatka koje se sastoje od objavljivanja na internetu kako bi se ti podaci učinili dostupnima neograničenom broju ljudi.

Postavljanje sustava privatnog videonadzora, u mjeri u kojoj je uključeno stalno snimanje i pohrana osobnih podataka, koji je pritom djelomično usmjeren i na javnu površinu (odnosno površinu izvan prostora privatne osobe), ne može se smatrati 'osobnom ili kućnom aktivnosti'.

Vezano uz korištenje video uređaja unutar prostora privatne osobe, njegova legitimnost odnosno izuzeće pod nazivom 'osobna ili kućna aktivnost' ovisit će o nekoliko čimbenika koje treba uzeti u obzir. Korisnik sustava videonadzora mora procijeniti ima li kakav osobni odnos sa samim predmetom obrade te sugerira li razmjer ili učestalost nadzora određenu vrstu profesionalne aktivnosti s njegove strane – i najvažnije, postoji li potencijalni štetni utjecaj samog videonadzora na ispitanike. Prema EDPB-u, postojanje bilo koje od navedenih stavaka otvara mogućnost da ta vrsta obrade podataka neće moći biti opravdana spomenutim izuzećem.

Široko rasprostranjen videonadzor

Ukoliko vas kao pojedinca muči široko rasprostranjen videonadzor kojeg postavljaju pojedine institucije ili javna tijela, treba uzeti u obzir da one za to imaju pravno uporište, osim u drugoj zakonskoj regulativi - i u samom pogledu obrade i zaštite osobnih podataka. Naime, prikupljanje i obrada osobnih podataka, uz GDPR i zakon o njegovoj provedbi, dodatno su regulirane i provedbenim propisima dviju vezanih direktiva. Prva od njih je tzv. policijska direktiva o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprječavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka. Druga je direktiva o upotrebi podataka u zračnom prometu u svrhu otkrivanja terorizma i teških kaznenih djela.

Nadalje, GDPR-om i Zakonom o njegovoj provedbi definirano je da tijela javne vlasti, pravne osobe s javnim ovlastima i pravne osobe koje obavljanju javnu službu smiju videonadzorom pokrivati javne površine kada im je to dopušteno zakonom, ako im je to nužno za izvršenje poslova i zadaća javne vlasti ili radi zaštite života i zdravlja ljudi te imovine.

Dijeljenje videosnimke s trećim stranama

Svako dijeljenje videosnimke predstavlja zasebnu vrstu obrade za koju voditelj obrade mora imati pravnu osnovu definiranu u čl. 6. Opće uredbe o zaštiti podataka. Na primjer, voditelj obrade koji videosnimku želi postaviti na Internet morao bi imati privolu pojedinca koji se nalazi na snimci.

Dijeljenje videosnimke s trećim stranama i korištenje u svrhu različitu od one za koju je prikupljena, moguće je u skladu s odredbama čl. 6. st. 4. kojim se procjenjuje kompatibilnost nove obrade u odnosu na staru. Primjerice, snimka nezgode koja se dogodila na parkiralištu koju zatraži odvjetnik za utvrđivanje odgovornosti za izazivanje nezgode spada pod ostvarivanje pravnih zahtjeva.

Dijeljenje videosnimke s tijelima koja provode istragu definirano je čl. 6. st. 1. t. c., a unutar EU prevladava generalno pravilo da se policijskim službama ustupaju snimke prikupljene od strane različitih vlasnika videonadzora, a koje mogu pomoći u rješavanju slučajeva zbog kojih se provodi istraga.

 

AUTORICA - Natalija Parlov Una, doktorandica Međunarodnih odnosa i stručnjakinja za informacijsku sigurnost i bihevioralni digitalni marketing. Autorica je brojnih znanstvenih i stručnih radova iz područja informacijske sigurnosti, bihevioralnog marketinga, plasmana na vanjska tržišta i međunarodnih odnosa. Konzultantica je inozemnim i domaćim tvrtkama te institucijama u poljima procesne forenzike, informacijske sigurnosti, bihevioralne marketinške analitike te uvođenja sukladnosti s europskom pravnom regulativom. Auditorica je sustava upravljanja informacijskom sigurnosti (ISO 27001), sustava upravljanja kvalitetom (ISO 9001) te sustava upravljanja za suzbijanje podmićivanja (ISO 37001) najveće njemačke certifikacijske kuće TÜV NORD. Direktorica je dviju tvrtki: PARLOV Digital Intelligence za bihevioralni digitalni marketing te APICURA Business Intelligence za informacijsku sigurnost i usklađivanje s europskom pravnom regulativom. LinkedIn